Please wait a minute...
 首页  期刊介绍 期刊订阅 联系我们 横山亮次奖 百年刊庆
 
最新录用  |  预出版  |  当期目录  |  过刊浏览  |  阅读排行  |  下载排行  |  引用排行  |  横山亮次奖  |  百年刊庆
清华大学学报(自然科学版)  2014, Vol. 54 Issue (1): 35-43    
  论文 本期目录 | 过刊浏览 | 高级检索 |
基于威胁传播的复杂信息系统安全风险评估
马刚1,2,杜宇鸽3,荣江1,2,甘家瑞1,2,史忠植1(),安波1
2. 中国科学院大学, 北京 100049
3. 中国信息安全测评中心, 北京 100085
Risk assessment of complex information system security based on threat propagation
Gang MA1,2,Yuge DU3,Jiang RONG1,2,Jiarui GAN1,2,Zhongzhi SHI1(),Bo AN1
1. The Key Laboratory of Intelligent Information Processing, Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100190, China
2. University of Chinese Academy of Sciences, Beijing 100049, China
3. China Information Technology Security Evaluation Center, Beijing 100085, China
全文: PDF(1397 KB)   HTML
输出: BibTeX | EndNote (RIS)       背景资料
文章导读  
摘要 

为评估复杂信息系统安全风险,该文提出了一种基于资产间威胁传播的风险评估方法。该方法将复杂信息系统各资产间的威胁传播路径定义为一棵威胁传播树,通过计算威胁传播树中各结点的期望损失以及威胁传播树出现的概率来对整个复杂信息系统进行风险安全评估。为验证本文所提方法的正确性、可行性,该文选取了一个具有代表性的实例阐述了所提方法在复杂信息系统安全风险评估中的应用。通过实例分析表明基于威胁传播的复杂信息系统安全风险评估方法强调不同结点受到威胁作用概率的不同性,威胁在结点之间的传播性,并且能够提示在不同时间段的重点保护结点。比起传统的孤立结点分析方法更具客观性与准确性,能够很好地指导安全风险管理者为复杂信息系统制定合理的安全保护策略。

服务
把本文推荐给朋友
加入引用管理器
E-mail Alert
RSS
作者相关文章
马刚
杜宇鸽
荣江
甘家瑞
史忠植
安波
关键词 风险评估资产威胁传播树    
Abstract

This paper presents a risk assessment method based on threat propagation between assets for assessing the risks related to complex information system security. This method describes the threat propagation route between assets as a threat propagation tree, with the risk to the complex information system security assessed by the expected value loss of each node in the threat propagation tree with the probability of each step in the threat propagation tree. The accuracy of this model is evaluated by applying the model to a representative complex information system. The analysis shows that this method represents the different probabilities for different threatened nodes and the threat propagation between nodes to identiby the key protected nodes during different periods. The system is more objective and accurate than the traditional isolated node analysis method and is able to guide security risk managers to formulate reasonable security protection strategies for complex information systems.

Key wordsrisk assessment    asset    threat propagation tree
收稿日期: 2013-12-01      出版日期: 2015-04-16
ZTFLH:     
基金资助:国家 “九七三” 重点基础研究项目 (2013CB329502);国家 “八六三” 高技术项目 (2012AA011003);国家 “十二五” 科技支撑计划项目 (2012BA107B02);国家自然科学基金资助项目 (61035003)
引用本文:   
马刚, 杜宇鸽, 荣江, 甘家瑞, 史忠植, 安波. 基于威胁传播的复杂信息系统安全风险评估[J]. 清华大学学报(自然科学版), 2014, 54(1): 35-43.
Gang MA, Yuge DU, Jiang RONG, Jiarui GAN, Zhongzhi SHI, Bo AN. Risk assessment of complex information system security based on threat propagation. Journal of Tsinghua University(Science and Technology), 2014, 54(1): 35-43.
链接本文:  
http://jst.tsinghuajournals.com/CN/  或          http://jst.tsinghuajournals.com/CN/Y2014/V54/I1/35
  复杂信息系统实例
  复杂信息系统构成要素及其相互关系
  威胁从资产a4传播到a1的详细过程
  两种威胁在四结点复杂信息系统中的传播情况
  TSG所有连通子图的全部生成树组合